25 сентября 2016г.
В настоящее время большинство организаций используют сложные информационные системы (ИС), включающие в себя значительное количество серверов, клиентов и различные информационные технологии. Следовательно, чем сложнее эксплуатируемые системы, тем больше риск нарушения их нормального функционирования из-за ошибок в действиях обслуживающего персонала, а цена этих ошибок дороже.
Особенности построения современных информационных систем в организации:
· неоднородность построения и технической реализации информационных систем и их систем защиты;
· с одной стороны, внедрение новейших информационных технологий требует постоянного повышения квалификации обслуживающего персонала, с другой – простота эксплуатации новейших СВТ приводит к снижению требований в отношении средней квалификации пользователей;
· принципиально изменился количественный и качественный (с точки зрения ценности) состав информационных ресурсов, обрабатываемых и хранимых в ИС;
· поиск новых организационных мер защиты или применение дополнительных технических или программных средств защиты;
· необходимость постоянного и тщательного анализа источников угроз информационной безопасности (ИБ), анализ появляющихся уязвимостей в системе защиты ПО.
На основе этих принципов подразделением по защите информации, отвечающему за безопасность ИС, решаются следующие основные задачи.
1. Организация непрерывного сбора информации о нарушениях информационной безопасности ИС;
2. Выработка совместно со специалистами подразделения по информационным технологиям мер по устранению причин выявленных нарушений ИБ, внедрение их во все элементы ИС, в которых такие нарушения могут проявиться в дальнейшем.
3. Организация постоянного процесса обучения и консультации сотрудников по вопросам защиты информации ограниченного доступа.
Трудности подготовки специалистов в области информационной безопасности обусловлены тем, что ряд принципиальных вопросов не решен полностью до настоящего времени. К их числу относятся:
· объективное определение квалификационных требований к специалистам в области информационной безопасности;
· отсутствие научно-обоснованных принципов и механизмов разработки и использования государственного образовательного стандарта и основной образовательной программы;
· отсутствие методического аппарата оценки степени подготовленности специалиста к решению профессиональных задач.
Процессу приема сотрудника на работу в подразделение по защите информации предшествует ряд подготовительных этапов, которые позволяют составить представление о том, сотрудник какой квалификации действительно нужен для данной должности, какими личностными качествами он должен обладать:
· Предварительно сформулировать, какие функции должен выполнять сотрудник, каков круг его ответственности, какими качествами, знаниями и уровнем квалификации необходимо обладать;
· Составить перечень информации ограниченного доступа (ИОД), с которой он будет работать;
· Составить перечень форм поощрения и стимулирования, которые может получать сотрудник;
· Составить описание должности.
Кандидаты предварительно знакомятся с этими документами, что делает собеседование с ними более целенаправленным и конкретным.
Существует ряд направлений активного поиска кандидатов на вакантную должность:
1. Поиск кандидатов внутри организации. Данный метод дает возможность продвигать перспективных работников по служебной лестнице и заинтересовывать их работой. Преимущество данного метода в том, что о кандидате достаточно много известно всему коллективу и судить о его профессиональных и личностных качествах можно по обширному опыту.
2. Поиск кандидатов среди студентов и выпускников учебных заведений. Эффективно вести поиск наиболее способных студентов, привлекать их в процессе учебы к работе в организации, оплачивать их труд с целью дальнейшего их трудоустройства.
3. Рекомендации работающих в организации сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, так как с рекомендуемыми людьми сотрудникам придется работать вместе.
Эти направления поиска кандидатов на должности, связанные с владением информацией ограниченного доступа, позволяют выбрать соответствующих работников из ряда лиц, изъявивших желание занять вакантную должность.
Представленные кандидатом документы тщательно проверяются на:
· достоверность всех персональных данных,
· наличие необходимых отметок и записей,
· соответствие фотографий и личности человека.
Документы, явно недостоверные, должны быть возвращены претенденту, и одновременно отказано ему в рассмотрении вопроса о приеме на работу без объяснений причины отказа. Сведения, указанные в резюме, не проверяются.
Заявление о назначение на должность, личный листок по учету кадров, автобиография пишутся кандидатом собственноручно. Копии с аттестатов, дипломов, свидетельств, грамот снимаются в отделе кадров и заверяются сотрудником отдела кадров. Копии, принесенные претендентом, внимательно сличаются с подлинником и тоже заверяются этим сотрудником.
Собеседование с кандидатами преследуют следующие цели: выявить реальную причину желания работать в данной организации; выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут провоцировать преступные действия; убедить в добровольном согласии кандидата соблюдать требования защиты информации.
Психологический отбор преследует следующие цели:
· Выявление возможных преступных наклонностей;
· Определение предрасположенности кандидата к совершению дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;
· Установление факторов, свидетельствующих о морально-психологической ненадежности, неустойчивости, уязвимости кандидата.
Обязательство о неразглашении информации ограниченного доступа претендент подписывает до того, как ему будет сообщен состав защищаемых сведений, с которыми ему предстоит работать, и порядок из защиты. После подписания обязательства и проведения инструктажа с претендентом заключается трудовой договор. Договор обязательно должен содержать пункт, касающийся обязанности не разглашать сведения, составляющие информацию ограниченного доступа, в том числе конфиденциальные сведения партнеров и клиентов, и обязательства соблюдать требования защиты информации. В обязательном порядке включается пункт об обязанности работника немедленно сообщать непосредственному руководителю об утере носителей информации ограниченного доступа и документов. В заключительной части указывается степень ответственности за разглашение информации или несоблюдение правил защиты информации.
Процесс обучения всех сотрудников организации подразделением по защите информации порядку защиты информации должен быть постоянным, так как система защиты требует подержания в актуальном состоянии. Обучение сотрудника начинается с момента проведения собеседования с ним при приеме на работу и подписания им обязательства о неразглашении и заканчивается моментом увольнения и подписания этим лицом обязательства о недопустимости использования информации ограниченного доступа в каких-либо целях.
Задачи обучения включают изучение:
· Характера и состава ИОД;
· Возможных угроз, каналов распространения, методов работы злоумышленников;
· Требований и правил защиты информации ограниченного доступа, а также изменения и дополнения в нормативно-организационные документы по защите информации;
· Порядка работы сотрудников с ИОД;
· Действий персонала в различных нештатных ситуациях.
Обучение предполагает приобретение и поддержание на высоком уровне производственных навыков работы с информацией ограниченного доступа, психологическое воспитание сотрудников и понимание необходимости выполнения требований по защите информации. Процесс обучения сотрудников организации должен завершаться контролем работы.
В случае установления фактов невыполнения сотрудниками требований по защите информации к ним должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка: объявление выговора, понижение в должности, лишение премии, отстранение от работы с конфиденциальной информацией, увольнение.
Список источников
1. http://studopedia.info/2-74058.html
2. http://bezopasnik.org/article/16.htm
3. «Обучение персонала как составная часть проблемы обеспечения информационной безопасности энергосистемы» В. М. Шатунов, И.Н. Бабков.
